În articolele anterioare povesteam despre cum cei de la Kaspersky și Cisco au previzionat pentru anul 2020 transformarea atacurilor clasice de tip ransomware în unele țintite spre organizații mari, dispuse să plătească sume substanțiale pentru a-și recupera datele criptate.
Un candidat potrivit pentru astfel de lucruri ar putea fi ransomware-ul RYUK – care are un stil unic de atac. Targetează entități mari și își customizează atacul în funcție de victima aleasă.
Ryuk este o versiune a ransomware-ului Hermes, apărută în toamna anului 2018. Ryuk criptează device-ul infectat, identifică copiile shadow stocate pe endpoint-uri și le șterge. Ryuk injectează cod în mai multe procese remote și le stopează. Acestea includ toll-uri antivirus, baze de date, backup-uri și alte soluții software. O listă a serviciilor stopate de Ryuk se găsește aici.
Ransomware-ul Ryuk targetează organizații mari și agenții guvernamentale care pot plăti sume considerabile pentru decriptarea datelor. Doar așa, Ryuk poate fi profitabil pentru atacatori, întrucât construirea atacului presupune multă procesare manuală – ceea ce crește costurile pentru atacatori.
Ryuk se propagă printr-un dropper (dintr-un email de phishing, din navigarea pe un site dubios sau “prins” după un click pe un pop-up) și “lucrează” împreună cu bot-uri precum TrickBot și Emotet care îi dau acces direct la rețeaua victimei. Emotet și TrickBot se propagă lateral în cadrul rețelei și lansează ransomware-ul Ryuk. De regulă, există un delay între răspândirea boților și lansarea Ryuk, timp în care boții pot fura informații sensibile din rețeaua victimei.
Odată lansat, Ryuk face verificări în sistem pentru a identifica ce versiune a lui este potrivită pentru sistemul în care se află și apoi o injectează.
Cum ne putem proteja de Ryuk?
Nu există o soluție universală. Cea mai bună protecție presupune combinarea mai multor proceduri: primul pas ține de educarea angajaților, deoarece cele mai multe breach-uri au succes ca urmare a unei erori umane. Apoi, totul ține de organizarea și întreținerea rețelei: cel mai bine e ca aceasta să fie segmentată astfel încât infecția unui endpoint să nu afecteaze întreaga rețea, toate soluțiile software să fie actualizate la zi și să fie făcute scanări periodice după malware. Macro-urile este bine să fie deazctivate și desigur, backup-ul să fie făcut – de preferat automatizat și în cloud.